工具栏怎么还原-hashmd5校验工具
2023年4月4日发(作者:excel2007官方网)
病毒清除及专杀工具-杀毒技术-新客网
病毒清除及专杀工具新客网时
间:2008-03-31来源:新客网络学院转载点击:112071次
一、手工清除病毒
查看:进程是什么
在开始菜单的运行中输入cmd,出现命令行提示,输入命令
“tasklist/svc>c:”(例如:C:Documentsand
SettingsAdministrator>tasklist/svc>c:),就会在C盘根目
录生成文件,打开可以看到如下内容:
查找的PID值和服务名称。
***************************************************************
***************
图像名PID服务
===============================
=========================================
====
SystemIdleProcess0暂缺
System4暂缺
1168暂缺
1228暂缺
1260暂缺
1308Eventlog,
PlugPlay
1320PolicyAgent,ProtectedStorage,
SamSs
1484
IBMPMSVC
1520AtiHotKey
Poller
1544DcomLaunch,
TermService
1684RpcSs
380AudioSrv,BITS,Browser,CryptSvc,
Dhcp,
EventSystem,FastUserSwitchingCompatibility,
helpsvc,lanmanserver,lanmanworkstation,
Netman,Nla,RasMan,Schedule,seclogon,
SENS,SharedAccess,ShellHWDetection,
TapiSrv,Themes,TrkWks,W32Time,winmgmt,
wscsvc,wuauserv,WZCSVC
420btwdins
456暂缺
624EvtEng
812
S24EventMonitor
976Dnscache
1192Alerter,LmHosts,RemoteRegistry,
SSDPSRV,
WebClient
1852Spooler
272IPSSVC
288
AcPrfMgrSvc
1064AVGAnti-Spyware
Guard
1124AVP
1284Bonjour
Service
1848IISADMIN,
W3SVC
3464
InterBaseGuardian
3556RegSrvc
3596stisvc
3968SUService
3788
TPHDEXLGSVC
3804
TpKmpSVC
3836TVT
Scheduler
3920UMWdf
3956
VMAuthdService
3576
vmount2
4112VMwareNAT
Service
4360
VMnetDHCP
4388AcSvc
4684
InterBaseServer
5416暂缺
5704ALG
3776暂缺
4912暂缺
5088暂缺
5120暂缺
5136暂缺
4532暂缺
4648暂缺
4412暂缺
5196暂缺
5284暂缺
6020暂缺
6124暂缺
5584暂缺
4164
COMSysApp
1232暂缺
2212暂缺
2004暂缺
6360暂缺
2928暂缺
5552暂缺
1900暂缺
***************************************************************
***************
如果看到哪个进程后面提示的服务信息是“暂缺”,
而不是一个具体的服务名,那么它就是病毒进程了,记下这个病毒进
程对应的PID数值(进程标识符),即可在任务管理器的进程列表中找到
它,结束进程后,在C盘搜索文件,也可以用第三方进
程工具直接查看该进程的路径,正常的文件是位
于%systemroot%System32目录中的,而假冒的病毒
或木马文件则会在其他目录,例如“”病毒假冒
的就隐藏在WindowsSystem32Wins目录中,将其删
除,并彻底清除病毒的其他数据即可。
二、病毒高级骗术
一些高级病毒则采用类似系统服务启动的方式,通过真正的
进程加载病毒程序,而是通过注册表数据来
决定要装载的服务列表的,所以病毒通常会在注册表中采用以下方法
进行加载:添加一个新的服务组,在组里添加病毒服务名在现有的服
务组里直接添加病毒服务名修改现有服务组里的现有服务属性,修改
其“ServiceDll”键值指向病毒程序判断方法:病毒程序要通过真正的
进程加载,就必须要修改相关的注册表数据,可以打开
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNT
CurrentVersionSvchost],观察有没有增加新的服务组,同时要留意
服务组中的服务列表,观察有没有可疑的服务名称,通常来说,病毒
不会在只有一个服务名称的组中添加,往往会选择LocalService和
netsvcs这两个加载服务较多的组,以干扰分析,还有通过修改服务属
性指向病毒程序的,通过注册表判断起来都比较困难,这时可以利用
前面介绍的服务管理专家,分别打开LocalService和netsvcs分支,
逐个检查右边服务列表中的服务属性,尤其要注意服务描述信息全部
为英文的,很可能是第三方安装的服务,同时要结合它的文件描述、
版本、公司等相关信息,进行综合判断。例如这个名为PortLess
BackDoor的木马程序,在服务列表中可以看到它的服务描述为
“IntranetServices”,而它的文件版本、公司、描述信息更全部为
空,如果是微软的系统服务程序是绝对不可能出现这种现象的。从启
动信息“C:-knetsvcs”中可以
看出这是一款典型的利用进程加载运行的木马,知道了
其原理,清除方法也很简单了:先用服务管理专家停止该服务的运行,
然后运行打开“注册表编辑器”,删除
[HKEY_LOCAL_MACHINESystemCurrentControlSet
ServicesIPRIP]主键,重新启动计算机,再删
除%systemroot%System32目录中的木马源程序“”,
通过按时间排序,又发现了时间完全相同的木马安装程序
“”,一并删除即可。是nt核心系统的
非常重要的进程,对于2000、xp来说,不可或缺。很多病毒、木马
也会调用它。
新闻来自:新客网()详文参考:/page/e2008/0331/
更多推荐
txplatform exe是什么进程
发布评论